Schutzziele der Informationssicherheit

Bedrohungen auf die Informationssicherheit

Bevor wir uns im Detail mit den Schutzzielen der Informationssicherheit beschäftigen, widmen wir uns der Frage, welche Bedrohungen auf Informationen in Unternehmen und deren Systemen gibt. Aus einer ISACA Studie wurden die Top 10 Technologie Risiken von Experten großer Unternehmen bewertet. Diese sind der Abbildung unten dargestellt.

TOP 10 DER TECHNOLOGIE RISIKEN LAUT ISACA

Schutzziele nach ISO/IEC 27001

Der Informationssicherheitsbegriff ist Gegenstand der ISO/IEC 27000 Reihe. Im wesentlichen Dokument der ISO/IEC 27001, wird Informationssicherheit über die IT Schutzziele “Verfügbarkeit, Integrität und Vertraulichkeit” und deren Aufrechterhaltung definiert. Weitere Faktoren, die nach ISO/IEC 27000 ebenfalls Teil der Informationssicherheit sein können, sind Authentizität, Zurechenbarkeit, Nicht-Abstreitbarkeit und Verlässlichkeit.

Schutzziele der Informationssicherheit

Schutzziel VERTRAULICHKEIT (engl. CONFIDENTIALITY)

Unter dem Schutzziel Vertraulichkeit versteht man den Schutz vor Verrat von Informationen oder vertraulichen Daten. Darunter fallen z.B. Umsatz- oder Verkaufszahlen, Marketing-Kennzahlen, Ergebnisse aus Forschung und Entwicklung usw., die Wettbewerber:innen interessieren könnten. Eine Verletzung der Vertraulichkeit liegt laut BSI dann vor, wenn vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden. Daher ist die Vertraulichkeit mit dem Begriff der Authentizität verzahnt. Die Verzahnung Vertraulichkeit-Authentizität äußert sich dadurch, dass durch Festlegung von Berechtigungen und Kontrollen gewährleistet werden muss, dass unautorisierte Benutzer keine Kenntnis über vertrauliche Informationen erhalten dürfen.

Schutzziel INTEGRITÄT (engl. INTEGRITY)

Unter dem Schutzziel Integrität versteht das BSI (Bundesamt für Sicherheit in der Informationstechnologie) im IT Grundschutz das ausnahmslose Funktionieren von IT-Systemen sowie die Vollständigkeit und Richtigkeit von Daten und Informationen. Beziehen wir das Schutzziel auf die Informationssicherheit, so bedeutet Integrität das Verhindern von nicht genehmigten Veränderungen an wichtigen Informationen. Manipulative Veränderungen, wie das Einfügen oder Löschen von Zeichen, das Verändern einer Anordnung von Daten oder Dateien, oder das Duplizieren von Informationen, führen zur Verletzung dieses Schutzzieles. Durch (zusätzliche) Attribute, wie z.B. Autor, Einstellung- und Veränderungsdatum usw. können Änderungen an Informationen nachvollzogen werden. Gefälschte Daten führen zu Fehlern im Unternehmen, die schnell größere Schäden (finanziell- und/oder Reputationsschäden) verursachen können. Diese äußeren sich z.B. durch Fehlbuchungen, falschen Lieferungen oder fehlerhaften Produkten.

Schutzziel VERFÜGBARKEIT (engl. AVAILABILITY)

Das Schutzziel Verfügbarkeit ist dann erfüllt, wenn IT-Systeme, IT-Anwendungen, IT-Netzwerke oder elektronische Informationen einem Benutzer (z.B. von Mitarbeiter:innen oder Kund:innen) zur Verfügung stehen und diese wie erwünscht ohne Einschränkungen dem Benutzer zur Verfügung stehen. Die Verfügbarkeit dient als Maß zur Beschreibung welche Leistung ein IT-System zu einem bestimmten Zeitpunkt erbringen muss. Eine Verletzung der Verfügbarkeit macht sich bemerkbar, wenn z.B. Daten oder Informationen (z.B. Rechnungen, Kund:innendaten, Marketingdaten usw.) nicht vom Rechner (PC, Laptop, Smartphone usw.) abgerufen oder Geldtransaktionen nicht durchgeführt werden. Eine Vielzahl anderer Auswirkungsszenarien ist je nach Geschäftsprozess denkbar: Online-Käufe sind nicht mehr abwickelbar, Maschinen- oder ganze Produktionsstätten fallen aus. An diesen Beispielen wird ersichtlich, dass die Verletzung der Verfügbarkeit für ein Unternehmen zu einem hohen finanziellen Schaden sowie Reputationsschäden führen kann.

Schutzziel AUTHENTIZITÄT (engl. AUTHENTICITY)

Das Schutzziel Authentizität beschreibt die Sicherstellung der Echtheit und Glaubwürdigkeit eines Objektes bzw. Subjektes, welche anhand einer eindeutigen Identität sowie charakteristischen Eigenschaften überprüfbar sind. Denn erst mit einer funktionsfähigen Authentifizierung kann erreicht werden, dass Daten ihrem Ursprung zugeordnet und eine Rollenzuordnung von Berechtigung möglich werden können.

CIA/VIVA-Schutzziele

Kombinieren wir nun obige Schutzziele erhalten wir die im englischsprachigen Raum bekannte Bezeichnung CIA-Schutzziele. Diese Bezeichnung setzt sich zusammen aus den Schutzzielen:

  • Integrity (Integrität)
  • Availability (Verfügbarkeit)
  • Integrität (engl. Integrity)
  • Verfügbarkeit (engl. Availability)
  • Authentizität (engl. Authenticity)

Weiterführende Schutzziele

Im Rahmen der IT-Sicherheitsforschung werden weitere Schutzziele außerhalb der CIA- bzw. VIVA-Schutzzielen abgeleitet:

  • Zurechenbarkeit: Hier ist der Schutz vor beabsichtigten oder unbeabsichtigten Störungen, beispielsweise durch Angriffe oder auch durch höhere Gewalt, gemeint. Sie ist mit Kontrollaktivitäten die Sicherung der Architektur, ihrer Prozesse und Reduzierung der Gesamtkomplexität verbunden. Regelmäßige Kontrollen stellen sicher, dass alle Sicherheitsmaßnahmen (sowohl technische als auch betriebliche) wie beabsichtigt funktionieren, um das System und die darin verarbeiteten Informationen zu schützen.

Schutzbedarfskategorien nach IT-Grundschutz

Der Schutzbedarf eines Assets bezüglich eines der Schutzziele orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens. Die Schadenshöhe kann vorab nicht exakt ermittelt werden. Als Alternative empfiehlt der BSI gemäß der IT-Grundschutz-Methodik Schutzbedarfskategorien für den jeweiligen Anwendungszweck zu definieren, die eine Klassifikation der Schadensauswirkung bei Verletzung des jeweiligen Schutzziels erlauben. Der BSI nennt im IT-Grundschutz die folgenden drei Schutzbedarfskategorien:

  • hoch: Die Schadensauswirkungen können beträchtlich sein.
  • sehr hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
  • Beeinträchtigungen des informationellen Selbstbestimmungsrechts,
  • Beeinträchtigungen der persönlichen Unversehrtheit,
  • Beeinträchtigungen der Aufgabenerfüllung,
  • negative Innen- oder Außenwirkung oder
  • finanzielle Auswirkungen.

--

--

Beratung, um Security, Risk und Compliance bei Ihnen als Enabler für das Business zu etablieren.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
SRC - Security, Risk, Compliance

SRC - Security, Risk, Compliance

Beratung, um Security, Risk und Compliance bei Ihnen als Enabler für das Business zu etablieren.